Перейти к содержимому


Фото
- - - - -

Trojan.Moneyinst.511 и Trojan.Moneyinst.520

Trojan Moneyinst 511 520

  • Закрыто Тема закрыта
11 ответов в этой теме

#1 lllloooppp

lllloooppp

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 26 Январь 2018 - 17:32

Здравствуйте!

Логи все приложил.

Пару дней назад, после скачки файла из сети и его установки. (было что-то типа file.exe) - сам он пропал. И случилась ситуация, почему я обращаюсь сюда.

Грузится процессор процессом без подписи, а в подробностях диспетчера имя ему svchost.exe. (скрины прилагаю).

Проявляет себя вирус так: при подключении и интернете - начинает работать на полную мощность, а если wi-fi отключается - сразу отключается и он.

Для проверки не раз использовал CureIt. И каждый раз после перезагрузки вирус обнаруживался вновь и вновь.

Значительно чаще находит Trojan.Moneyinst.511, чем Trojan.Moneyinst.520.

Что делать?

 

https://yadi.sk/d/zCi7WmXu3Rp9Jp



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 723 Сообщений:

Отправлено 26 Январь 2018 - 17:32

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Dmitry_rus

Dmitry_rus

    Massive Poster

  • Helpers
  • 2 933 Сообщений:

Отправлено 26 Январь 2018 - 20:09

svchost выполняется обычно от системы, а не от пользователя. Так что у вас этот svchost - левый. Кликнуть на него в дисп. задач правой кнопкой мыши и открыть расположение. Где он лежит? Наверняка в юзерских или системных temp'ах. Кстати, их чистить. Сравните с расположением оригинального svchost, который у вас тоже есть. Оригинальный всегда в Windows\system32 и Windows\SysWOW64.

Ну и стандартно: какие программы устанавливали в последнее время? Что в планировщике заданий?

А лучше взять FRST и сделать логи этой программой.


Сообщение было изменено Dmitry_rus: 26 Январь 2018 - 20:20


#4 fetch

fetch

    Member

  • Posters
  • 324 Сообщений:

Отправлено 26 Январь 2018 - 21:24

Из темпа файлы по маске "is-*.tmp" отправьте в вирлаб (vms.drweb.com/sendvirus/). Номер тикета потом тут укажите.

#5 lllloooppp

lllloooppp

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 27 Январь 2018 - 20:13

svchost выполняется обычно от системы, а не от пользователя. Так что у вас этот svchost - левый. Кликнуть на него в дисп. задач правой кнопкой мыши и открыть расположение. Где он лежит? Наверняка в юзерских или системных temp'ах. Кстати, их чистить. Сравните с расположением оригинального svchost, который у вас тоже есть. Оригинальный всегда в Windows\system32 и Windows\SysWOW64.

Ну и стандартно: какие программы устанавливали в последнее время? Что в планировщике заданий?

А лучше взять FRST и сделать логи этой программой.

 

Из темпа файлы по маске "is-*.tmp" отправьте в вирлаб (vms.drweb.com/sendvirus/). Номер тикета потом тут укажите.

1. все svсhost.exe расположены либо в в Windows\system32 или Windows\SysWOW64
2. Из программ - искал по торрентам софт для записи звонков в skype. Много чего инсталлировал и удалял. Остались oCamScreenRecorder и Evaer.
3. Планировщик заданий - сделал скрин.
4. FRST - сделал логи.
5. Отправил всё что сказал (fetch) в вирлаб. Номер тикета: [drweb.com #8037158]

Сегодня обновил Сureit и снова проверил. Впервые произошла ошибка лечения файла. Скрин сделал.

https://yadi.sk/d/6wipRX3-3RqXx2



#6 lllloooppp

lllloooppp

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 29 Январь 2018 - 05:17

Отправил в вирлаб ещё один запрос. В этом запросе я разместил зараженные файлы без лечения: [drweb.com #8038857]



#7 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 968 Сообщений:

Отправлено 29 Январь 2018 - 09:31

Добавил присланных троев, через пару часов можете скачать свежий cureit.

 

Пришлите еще файлик: C:\Windows\TEMP\WAX1C54.tmp



#8 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 349 Сообщений:

Отправлено 29 Январь 2018 - 19:13

Task: {687C4394-FCBA-4540-A959-44B87259FD42} - System32\Tasks\{C2342A1D-550F-4483-AF74-653F25AE4C13} => C:\Program Files (x86)\HOIaQtyOHO.exe [2014-10-29] (Microsoft Corporation) <==== ATTENTION



#9 lllloooppp

lllloooppp

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 29 Январь 2018 - 20:08

Добавил присланных троев, через пару часов можете скачать свежий cureit.

 

Пришлите еще файлик: C:\Windows\TEMP\WAX1C54.tmp

Отправил: [drweb.com #8039806]

 

Task: {687C4394-FCBA-4540-A959-44B87259FD42} - System32\Tasks\{C2342A1D-550F-4483-AF74-653F25AE4C13} => C:\Program Files (x86)\HOIaQtyOHO.exe [2014-10-29] (Microsoft Corporation) <==== ATTENTION

Этот файл не системный? Что с ним делать. Вот ссылка на его свойства: https://yadi.sk/d/0IfLrGzy3RtdPW



#10 provayder

provayder

    Poster

  • Posters
  • 1 659 Сообщений:

Отправлено 29 Январь 2018 - 20:40

Этот файл не системный? Что с ним делать. Вот ссылка на его свойства: https://yadi.sk/d/0IfLrGzy3RtdPW

нет, не системный, зашлите его тоже в вир.лаб 



#11 lllloooppp

lllloooppp

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 30 Январь 2018 - 11:36

 

Этот файл не системный? Что с ним делать. Вот ссылка на его свойства: https://yadi.sk/d/0IfLrGzy3RtdPW

нет, не системный, зашлите его тоже в вир.лаб 

 

 [drweb.com #8040708]. - Отправил файл HOIaQtyOHO.exe



#12 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 968 Сообщений:

Отправлено 30 Январь 2018 - 12:24

> [drweb.com #8040708]. - Отправил файл HOIaQtyOHO.exe

 

Это msiexec. Троя из #8039806 добавил, через пару часов будет в свежем cureit.





Also tagged with one or more of these keywords: Trojan, Moneyinst, 511, 520

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых